为了规范网络数据安全风险评估活动,加强重要数据安全保护,6月18日,国家互联网信息办公室、工业和信息化部、公安部三部门联合发布《网络数据安全风险评估办法》(以下简称《办法》)。《办法》的实施,标志着我国在数据安全风险评估制度建设方面迈出了坚实而重要的一步,是对我国数据安全制度的发展和完善,对指导网络数据安全风险评估、规范网络数据处理活动、促进数据要素依法合理有效利用具有重要意义。

一、深刻认识网络数据安全风险评估的重要意义

(一)网络数据安全风险评估是履行法律职责的基本要求

《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规相继出台,为数据安全保护提供了基本的法律框架与制度设计。其中,《中华人民共和国数据安全法》提出,国家建立集中统一、高效权威的数据安全风险评估机制,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。《网络数据安全管理条例》提出,重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,提供、委托处理、共同处理重要数据前,应当进行风险评估。《办法》对上位法中的原则性规定进行细化与落实,为网络数据安全风险评估工作提供了具体的制度保障和实施路径,进一步健全我国数据安全制度,推动数据分类分级保护工作走深走实。

(二)网络数据安全风险评估是应对数据安全风险的有力举措

《办法》所称的网络数据安全风险评估,是指对网络数据和网络数据处理活动安全进行的风险识别、风险分析和风险评价等活动。进入数字经济时代,数据泄露、损毁、破坏、滥用的风险日益突出,对国家安全、公共利益或者个人、组织合法权益造成严重威胁。数据安全事件案例表明,数据安全风险既来自于信息技术自身的脆弱性,也来自于安全管理体系的滞后;既来自于外部黑客的攻击入侵,也来自于内部人员的过大权限;既来自于传统网络安全风险引发的数据安全风险,也来自于人工智能、云计算等新技术带来的挑战。《办法》明确网络数据安全风险评估工作的方法、路径、流程等,为网络数据处理者提供科学的评估方法,为行业主管监管部门提供感知行业数据安全风险的制度保障,以实现全面地识别风险、科学地分析风险、精准地评价风险的效果,为有效应对数据安全风险提供有力保障。

(三)网络数据安全风险评估是促进数据要素合法利用的重要保障

促进数据要素依法有效合理利用是增强高质量发展动力的关键因素。在建设数据基础制度、推动数据要素流通利用的过程中,既面临数据主体“不愿流动”的意愿障碍,也面临“不会流动”的本领障碍,更面临“不敢流动”的风险障碍。数据处理者出于对未知风险的担忧,往往选择“烟囱式”的数据利用方案,造成了无法连通的数据孤岛,极大地阻碍数据要素的价值释放。网络数据安全风险评估工作采用有效的评估方法、科学的风险分析和评价手段,系统性识别未知风险与已知风险,用科学的风险管理支撑数据要素利用,必将推动以数据要素为基础的数字经济高质量发展。

二、准确把握网络数据安全风险评估工作的规律特点

网络数据处理者要落实网络数据安全风险评估工作,关键在于做好以下工作。

(一)牢牢把握网络数据安全风险评估工作的性质

网络数据安全风险评估有别于网络安全等级保护测评、云计算服务安全评估等符合性测评门类,本质上是一种风险评价活动,是对网络数据安全风险进行识别、分析、评价的有机结合。开展网络数据安全风险评估的总目标,是基于对网络数据安全风险客观规律的认识,通过科学的评估方法,回答好“本单位的网络数据和网络数据处理活动有没有风险、风险是什么、风险在哪里、风险有多大”等问题,为本单位决策层和行业主管监管部门做好风险管理提供参考依据。

(二)深化对数据安全风险特点的认识

数据具有复制成本低、易扩散、非独占等特点,这决定了网络数据安全风险评估的范围应包括本单位所有承载数据副本的信息系统;承载数据的信息系统自身的网络安全风险可能带来的数据泄露、篡改、破坏等风险;数据聚合分析、开源数据泄露等数据公开环节的典型风险;人工智能技术的应用带来过度海量采集、数据投毒污染、模型记忆与隐私泄露等新的风险;数据的委托处理、共同处理等形式将受托方、共同处理者引入风险范围以及保护责任义务边界问题等。

(三)掌握科学的评估方法

《办法》规定“风险评估工作应当按照《中华人民共和国数据安全法》、《网络数据安全管理条例》有关要求,参照数据安全风险评估有关国家标准开展”。目前,我国已经发布国家标准《数据安全技术 数据安全风险评估方法》(GB/T 45577-2025)作为数据安全风险评估的通用方法。另外,数据安全风险又与行业的业务场景关联紧密,具有很强的行业特征。故《办法》又规定“有关主管部门对本行业、本领域风险评估工作有规定的,从其规定”,充分考虑采用灵活方法适用于不同行业特征下的网络数据安全风险评估工作。

三、推动网络数据安全风险评估落地见效

(一)统筹协调推动网络数据安全风险评估

网络数据安全风险评估是一项涉及网信、电信、公安、国安等部门和各行业主管部门的工作。《办法》规定“在国家数据安全工作协调机制指导下,国家网信部门会同国务院电信、公安等有关部门建立网络数据安全风险评估专项工作机制,指导、监督风险评估工作”。具体来说,《办法》在有关主管部门制定年度检查计划、报送共享风险评估报告等方面做出相关规定,由国家网信部门协调年度检查计划,避免不必要的检查和交叉重复检查;由国家网信部门汇总有关主管部门报送的风险评估报告,并与国务院电信、公安、国家安全等有关部门共享,提高国家和行业层面的协同配合和风险联动处置能力,增强各行业领域网络数据安全风险评估效能。

(二)有效组织实施网络数据安全风险评估

网络数据安全风险评估工作具有全面性、系统性、综合性的特点,涉及业务、管理、法务、合规、技术、运维、外包、采购等部门,需要通过有效的组织形式才可以有效实施评估工作。数据安全风险具有很强的业务场景特点,如判定网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要,需要业务、合规、技术等业务部门深度参与;分析以数据接口方式提供数据的风险,需要业务应用、系统维护、网络安全等岗位人员根据业务需要、接口日志等情况进行综合判定。《办法》规定,网络数据处理者可以自行或者委托第三方评估机构开展风险评估,自行开展风险评估应当指定专人负责,为网络数据处理者开展风险评估的组织形式提供了科学指引。

(三)加强人才培养,打造专业队伍

网络数据安全风险评估人员和评估机构的能力直接决定风险评估的质量水平。评估人员需要具备较高的综合能力,在技术方面具备传统网络安全评估能力的同时,在业务应用方面要熟悉了解业务场景和业务模式,并掌握相关行业数据处理规范。高水平、普及性的评估人员和专业机构是网络数据安全风险评估制度的重要支撑。当前,相比于复杂多样的数据业务场景和大量的重要数据处理场景,专业的评估人才和机构严重不足。《办法》规定“鼓励相关评估机构通过认证”“国家网信部门和国务院电信、公安等有关部门积极促进网络数据安全风险评估服务的发展,培育评估机构”,为网络数据安全风险评估的人才培养和机构建设提供了依据。下一步,行业主管部门和网络数据处理者要协同发力,着力培养一批高质量评估人才和机构队伍,有力支撑网络数据安全风险评估工作行稳致远。(作者:刘博,国家互联网应急中心党委副书记、副主任